DESAFÍOS ANTILAVADO
EL LADO HUMANO DEL RIESGO CIBERNÉTICO
P ase tiempo con el general retirado de cuatro estrellas, James
Jones, y probablemente escuchará su ominosa bifurcación de
“ aquellas empresas que han sido blanco de un ataque cibernético, y las que lo serán”. Como ex Asesor de Seguridad Nacional de los EE. UU. para el Presidente y Comandante del Cuerpo de Marines, el General Jones ha dedicado su carrera a la comprensión, mitigación y prevención del riesgo de seguridad en todos los niveles.
La industria comercial ha estado ocupándose activamente del riesgo cibernético durante décadas, mientras que los ataques sólo han aumentado en frecuencia y gravedad. La mayoría de las personas asocian el delito cibernético con las amenazas externas y los estados-nación y el hackeo delictivo en la red de una empresa. Se ha invertido mucho en proteger el perímetro y mantener alejados a estos malos actores. La realidad es que el delito cibernético lo cometen una combinación de personas de fuera y de dentro de una empresa. Los de adentro, los que la compañía contrató o empleó, a menudo representan la mitad de la pérdida financiera y delincuencia.
La teoría delictiva nos dice que el delito es función de la motivación y la oportunidad. Para hacerle frente a la creciente preocupación por las amenazas internas, la mayoría de las organizaciones han concentrado casi por completo sus esfuerzos en el lado de la oportunidad de esta ecuación: monitorear la actividad digital en el lugar de trabajo y controlar el acceso a oportunidades limitadas. Esta forma de monitorear la red internamente puede incluir el acceso a y el movimiento de archivos, carpetas, documentos, sitios web, así como la comunicación interna por correo electrónico. El objetivo es identificar, comprender y documentar operaciones sospechosas, ilícitas o ilegales y luego limitar o detener el acceso a datos confidenciales o financieros.
Piense en esto como la última línea de defensa. La amenaza se ha vuelto activa. Se está intentando el delito ahora. El plan es identificar la actividad inicial con suficiente rapidez como para eliminar o negar la oportunidad y para proteger a la organización de un delito en curso.
Hoy en día, las empresas no sólo se defienden del delito cibernético, sino que tratan de detener las amenazas emergentes planteadas por los de adentro, expandiendo su enfoque hacia el lado humano de este riesgo. La mayoría de los expertos cibernéticos están de acuerdo en que las personas( empleados) suelen ser el vínculo más vulnerable en la defensa cibernética de una empresa. Muchas organizaciones ven este riesgo de los empleados a través de la lente de las pulsaciones descuidadas del teclado o de la mala higiene cibernética(“ no haga clic en ese enlace”,“ no abra ese documento”,“ no use la palabra‘ contraseña’ como contraseña”). Este riesgo humano es una función de conducta poco educada o inadvertida. El riesgo causado por el comportamiento negligente puede ser abordado por medio del entrenamiento y el procedimiento adecuados.
Desafortunadamente, no todos los riesgos humanos son impulsados por el error. Los de adentro también pueden participar conscientemente en actividades ilegales, por lo que las empresas deben entender y abordar los aspectos motivacionales de la delincuencia. Considere que los empleados no faltan al trabajo y deciden defraudar a su empresa o cometer un acto de delito cibernético de repente un día. Ciertos eventos específicos y circunstancias anteriores se presentan antes de la delincuencia laboral.
La clave para las empresas es identificar a los empleados susceptibles de cometer un acto ilegal o vulnerables a la influencia de actores externos nefastos que buscan explotarlos para obtener ganancias financieras. Se trata de empleados que, sin saberlo la empresa, están bajo estrés penal, financiero o de otra índole. Estas personas son las amenazas más duras de las que tiene que defenderse una organización. Debido a su conocimiento de información privilegiada pueden entender y aprender los sistemas de defensa de la empresa y trabajar para evitarlos o suprimirlos.
Para el bien del empleado, de los compañeros de trabajo y de la organización, las empresas siempre deben ser conscientes de los cambios materiales en el comportamiento del empleado, tanto dentro como fuera del lugar de trabajo. Las iniciativas de conozca a sus empleados enfatizan la necesidad de buscar una imagen holística de sus empleados a través del tiempo, así como la identificación oportuna de aberraciones o patrones inusuales de comportamiento de alto riesgo( por ejemplo, actividad delictiva repetida o creciente en el lugar de trabajo o cambios súbitos y drásticos en la situación financiera personal de alguno). Tal comportamiento, que habría descalificado en el proceso de contratación, puede ocurrir seis meses, un año o cinco años después y permanecer sin detectarse, y no sería colocado judicialmente por la organización.
14 ACAMS TODAY | JUNIO – AGOSTO 2017 | ESPANOL. ACAMS. ORG | ACAMSTODAY. ORG